WordPress Wurm verändert Blogroll

Als die meiste genutzte Software für Blogs ist WordPress immer wieder Ziel von Hacker und Wurm Attacken. Bisher hörte ich immer wieder von gehackten Blogs im Zusammenhang von Sicherheitslücken die auf nicht aktualisierten WordPress Installationen zurückzuführen sind.

Der neue Angriff auf WordPress Blogs nutzt diesmal eine ganz andere Schwachstelle, den User und seinen Drang möglichst einfache Passwörter zu verwenden auch bei FTP Accounts. Ich muss zugeben die Durchtriebenheit dieses Wurms ist faszinierend, denn anders als mir bisher bekannt wird nicht nur ein Link gesetzt sondern es wird auch via Skript kontrolliert ob die Links noch vorhanden sind.

Im geschilderten Fall wurde in eine php Datei ein kodierter php code eingeschleust der sich in regelmäßigen Abständen von einem Server den notwendigen PHP Code herunderlädt um diesen dann auf dem Server auszuführen. In diesem Fall wurde durch den PHP Code in der header.php die Blogroll manipuliert und fremde links eingebunden, wurden diese Links über das WordPress backend entfernt, setzte das Script den Link wieder ein.

Leider fallen solche Angriffe erst auf, wenn die Scripte aktiv werden, denn wer kontrolliert schon regelmäßig seine php Dateien? Es kann also gut sein, das dort drausen im Web eine riesiege Armee von WordPress Drohnen lauern die nur darauf warten Links und bösartige Scripte auf ahnungslose Internet Nutzern los zu lassen.